lvnilesh/README.md

## README.md

      
    Raw
  

              README.md
            
          
    Traefik mit Bitwarden

Beispieldateien für Traefik als Reverse-Proxy und Bitwarden als zu nutzender Dienst. Traefik nutzt die DNS-Challenge, um ein Wildcard-Zertifikat zu beantragen und um keinen Port im Heimnetzwerk nach außen öffnen zu müssen. In diesem Beispiel wird davon ausgegangen, dass Netcup als DNS-Provider genutzt wird.
Einträge mit sub.domain.tld müssen mit der eigenen Domain ersetzt werden.
Alle Keys und Logins müssen ebenfalls mit den eigenen Daten ersetzt werden.
Anderer DNS-Provider als Netcup

Traefik unterstützt viele weitere Anbieter für die DNS-Challenge. Eine Liste gibt es in der Dokumentation: https://doc.traefik.io/traefik/https/acme/#dnschallenge
Wird ein anderer Provider eingesetzt, müssen in der docker-compose.yml von Traefik die Variablen, die mit "NETCUP_" beginnen, entfernt und stattdessen die Variablen für den jeweiligen Provider (siehe Traefik Doku) eingesetzt werden.
Aufbau der Ordnerstruktur

├── /home/USERNAME/docker/
│   ├── traefik
│   │   ├── docker-compose.yml
│   │   ├── config/
│   │   │   ├── traefik.yml
│   │   │   ├── dynamic/
│   │   │   │   ├── simpleAuth_middleware.yml
│   ├── bitwarden/
│   │   ├── docker-compose.yml
Reihenfolge


Konfigs für Traefik anlegen
Traefik: docker-compose.yml erstellen und Container starten (docker compose up -d)
Es dauert bis zu 15 Minuten, bis das Wildcard Zertifikat beantragt wurde, dies abwarten.
Prüfen, ob die Traefik Weboberfläche funktioniert (unter der Domain, die bei Traefik angegeben wurde). Wenn ok:
Bitwarden: docker-compose.yml erstellen und Container starten (docker compose up -d)

Benutzername/Passwort erstellen

In der Datei simpleAuth_middleware.yml müssen ein Benutzername und ein Passwort hinterlegt werden, mit denen man sich an der Traefik Weboberfläche anmelden möchte. Diese werden nicht im Klartext hinterlegt, sondern über folgenden Befehl erzeugt (den Wert "benutzername" mit dem gewünschten Wert ersetzen):
echo $(htpasswd -nB benutzername)
New password: 
Re-type new password: 
benutzername:$2y$05$Wz.GxsiC37w/CBVKTOpBjO8mdHND1G0duWj6l8f5G5S5u1oh94OKi
Nach Ausführung des ersten Befehls werdet ihr zur Eingabe eines gewünschten Passworts aufgefordert und am Ende wird eine Zeichenkette ausgegeben, die in der Datei "simpleAuth_middleware.yml" eingesetzt werden muss.

  
## bitwarden_docker-compose.yml
version: '3'

services:
  bitwarden:
    container_name: bitwarden
    hostname: bitwarden
    image: vaultwarden/server:latest
    restart: always
    volumes:
      - bitwarden-data:/data
      - /etc/localtime:/etc/localtime:ro
      - /var/log/vaultwarden:/var/log/vaultwarden
    networks:
      - mariadb
      - traefik
    environment:
       # Lange zufällige Zeichenkette für den Zugriff auf das Adminpanel
       # Kann mit folgendem Befehl erzeugt werden: openssl rand -base64 48
       ADMIN_TOKEN: VERY_SECRET_AND_VERY_LONG_SECURITY_KEY_FOR_ADMIN_PANEL
       RUST_BACKTRACE: 1
       LOG_FILE: /var/log/vaultwarden/vaultwarden.log
       WEBSOCKET_ENABLED: "true"
       DOMAIN: https://sub.domain.tld
       DOMAIN_ORIGIN: https://sub.domain.tld
    labels:
      # Watchtower
      com.centurylinklabs.watchtower.enable: true
      # Traefik
      traefik.enable: true
      # Web-UI
      traefik.http.routers.bitwarden.entrypoints: websecure
      traefik.http.routers.bitwarden.rule: Host(`sub.domain.tld`)
      traefik.http.routers.bitwarden.service: bitwarden-service
      traefik.http.services.bitwarden-service.loadbalancer.server.port: 80
      traefik.http.routers.bitwarden.tls: true
      # Websocket
      traefik.http.routers.bitwarden-ws.entrypoints: websecure
      traefik.http.routers.bitwarden-ws.rule: Host(`sub.domain.tld`) && Path(`/notifications/hub`)
      traefik.http.routers.bitwarden-ws.service: bitwarden-ws-service
      traefik.http.services.bitwarden-ws-service.loadbalancer.server.port: 3012
      traefik.http.routers.bitwarden-ws.tls: true

networks:
  traefik:
    external: true

volumes:
  bitwarden-data:
    name: bitwarden-data

## simpleAuth_middleware.yml
http:
  middlewares:
    simpleAuth:
      basicAuth:
        users:
          - "benutzername:$2y$05$Wz.GxsiC37w/CBVKTOpBjO8mdHND1G0duWj6l8f5G5S5u1oh94OKi"
          # siehe README, wie man diese Zeichenkette erzeugt

## traefik.yml
# Traefik static config

global:
  checkNewVersion: true
  sendAnonymousUsage: false

entrypoints:
  web:
    address: ":80"
    http:
      redirections:
        entryPoint:
          to: websecure
          scheme: https
          permanent: true
  websecure:
    address: ":443"

api:
  dashboard: true

log:
  level: INFO

certificatesResolvers:
  netcupdns:
    acme:
      email: email@email.de
      storage: "/acme/acme.json"
      dnsChallenge:
        provider: netcup
        delayBeforeCheck: 900

providers:
  docker:
    watch: true
    network: traefik
    exposedByDefault: false
  file:
    directory: "./dynamic"
    watch: true

## traefik_docker-compose.yml
version: "3"

services:
  traefik:
    container_name: traefik
    hostname: traefik
    image: traefik:latest
    restart: always
    security_opt:
      - no-new-privileges:true
    ports:
      - 80:80/tcp
      - 443:443/tcp
    environment:
      TZ: Europe/Berlin
      NETCUP_CUSTOMER_NUMBER: "123456"
      NETCUP_API_KEY: "sEcreT-aPI-keY"
      NETCUP_API_PASSWORD: "VEry_sEcRet_API_PaSswOrD"
    volumes:
      - traefik-acme:/acme
      - ./config/traefik.yml:/traefik.yml
      - ./config/dynamic:/dynamic
      - /etc/localtime:/etc/localtime:ro
      - /var/run/docker.sock:/var/run/docker.sock:ro
    networks:
      - traefik
    labels:
      # Watchtower
      com.centurylinklabs.watchtower.enable: true
      # Traefik
      traefik.enable: true
      traefik.http.routers.traefik.entrypoints: websecure
      traefik.http.routers.traefik.rule: Host(`sub.domain.tld`)
      traefik.http.routers.traefik.tls: true
      traefik.http.routers.traefik.tls.certresolver: netcupdns
      traefik.http.routers.traefik.service: api@internal
      traefik.http.routers.traefik.middlewares: simpleAuth@file
      traefik.http.routers.traefik.tls.domains[0].main: "domain.tld"
      traefik.http.routers.traefik.tls.domains[0].sans: "*.domain.tld"

networks:
  traefik:
    name: traefik

volumes:
  traefik-acme:
    name: traefik-acme
	version: '3'

	services:
	bitwarden:
	container_name: bitwarden
	hostname: bitwarden
	image: vaultwarden/server:latest
	restart: always
	volumes:
	- bitwarden-data:/data
	- /etc/localtime:/etc/localtime:ro
	- /var/log/vaultwarden:/var/log/vaultwarden
	networks:
	- mariadb
	- traefik
	environment:
	# Lange zufällige Zeichenkette für den Zugriff auf das Adminpanel
	# Kann mit folgendem Befehl erzeugt werden: openssl rand -base64 48
	ADMIN_TOKEN: VERY_SECRET_AND_VERY_LONG_SECURITY_KEY_FOR_ADMIN_PANEL
	RUST_BACKTRACE: 1
	LOG_FILE: /var/log/vaultwarden/vaultwarden.log
	WEBSOCKET_ENABLED: "true"
	DOMAIN: https://sub.domain.tld
	DOMAIN_ORIGIN: https://sub.domain.tld
	labels:
	# Watchtower
	com.centurylinklabs.watchtower.enable: true
	# Traefik
	traefik.enable: true
	# Web-UI
	traefik.http.routers.bitwarden.entrypoints: websecure
	traefik.http.routers.bitwarden.rule: Host(`sub.domain.tld`)
	traefik.http.routers.bitwarden.service: bitwarden-service
	traefik.http.services.bitwarden-service.loadbalancer.server.port: 80
	traefik.http.routers.bitwarden.tls: true
	# Websocket
	traefik.http.routers.bitwarden-ws.entrypoints: websecure
	traefik.http.routers.bitwarden-ws.rule: Host(`sub.domain.tld`) && Path(`/notifications/hub`)
	traefik.http.routers.bitwarden-ws.service: bitwarden-ws-service
	traefik.http.services.bitwarden-ws-service.loadbalancer.server.port: 3012
	traefik.http.routers.bitwarden-ws.tls: true

	networks:
	traefik:
	external: true

	volumes:
	bitwarden-data:
	name: bitwarden-data
	http:
	middlewares:
	simpleAuth:
	basicAuth:
	users:
	- "benutzername:$2y$05$Wz.GxsiC37w/CBVKTOpBjO8mdHND1G0duWj6l8f5G5S5u1oh94OKi"
	# siehe README, wie man diese Zeichenkette erzeugt
	# Traefik static config

	global:
	checkNewVersion: true
	sendAnonymousUsage: false

	entrypoints:
	web:
	address: ":80"
	http:
	redirections:
	entryPoint:
	to: websecure
	scheme: https
	permanent: true
	websecure:
	address: ":443"

	api:
	dashboard: true

	log:
	level: INFO

	certificatesResolvers:
	netcupdns:
	acme:
	email: email@email.de
	storage: "/acme/acme.json"
	dnsChallenge:
	provider: netcup
	delayBeforeCheck: 900

	providers:
	docker:
	watch: true
	network: traefik
	exposedByDefault: false
	file:
	directory: "./dynamic"
	watch: true
	version: "3"

	services:
	traefik:
	container_name: traefik
	hostname: traefik
	image: traefik:latest
	restart: always
	security_opt:
	- no-new-privileges:true
	ports:
	- 80:80/tcp
	- 443:443/tcp
	environment:
	TZ: Europe/Berlin
	NETCUP_CUSTOMER_NUMBER: "123456"
	NETCUP_API_KEY: "sEcreT-aPI-keY"
	NETCUP_API_PASSWORD: "VEry_sEcRet_API_PaSswOrD"
	volumes:
	- traefik-acme:/acme
	- ./config/traefik.yml:/traefik.yml
	- ./config/dynamic:/dynamic
	- /etc/localtime:/etc/localtime:ro
	- /var/run/docker.sock:/var/run/docker.sock:ro
	networks:
	- traefik
	labels:
	# Watchtower
	com.centurylinklabs.watchtower.enable: true
	# Traefik
	traefik.enable: true
	traefik.http.routers.traefik.entrypoints: websecure
	traefik.http.routers.traefik.rule: Host(`sub.domain.tld`)
	traefik.http.routers.traefik.tls: true
	traefik.http.routers.traefik.tls.certresolver: netcupdns
	traefik.http.routers.traefik.service: api@internal
	traefik.http.routers.traefik.middlewares: simpleAuth@file
	traefik.http.routers.traefik.tls.domains[0].main: "domain.tld"
	traefik.http.routers.traefik.tls.domains[0].sans: "*.domain.tld"

	networks:
	traefik:
	name: traefik

	volumes:
	traefik-acme:
	name: traefik-acme